Avis d'imposition, jugement de divorce... Une société immobilière a laissé traîner les données de candidats à la location

Avis d'imposition, jugement de divorce... Une société immobilière a laissé traîner les données de candidats à la location

Extrait de "Mr Robot". USA Network/Virginia Sherwood

La Cnil — gendarme français de la vie privée — vient de sanctionner à hauteur de 400.000 euros la société Sergic, spécialisée dans la promotion immobilière, l'achat, la vente, la location et la gestion immobilière, pour avoir laissé traîner les données de candidats à la location. En faisant un léger changement sur une URL du site internet de Sergic, tout à chacun pouvait avoir accès aux pièces justificatives nécessaires à la constitution des dossiers des candidats à la location, telles que des copies de cartes d'identité, de cartes Vitale, d'avis d'imposition, d'attestations délivrées par la caisse d'allocations familiales, de jugements de divorce, de relevés de compte ou encore d'identité bancaire.

L'affaire remonte à août 2018. Un utilisateur a contacté la Cnil en indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l'URL affichée dans le navigateur. Un contrôle effectuée un mois plus tard fait apparaître que les documents étaient librement accessibles, sans authentification préalable. La Cnil reproche notamment à Sergic l'absence de procédure d'authentification des utilisateurs du site pour accéder aux documents "alors qu’il s'agissait d’une mesure élémentaire à prévoir", estime l'organe de protection des données personnelles.

A lire aussi : Le gendarme de la vie privée inflige une amende de 400.000€ à Uber après le vol de données de 1,4 million d'utilisateurs en France car il estime que l'incident aurait pu être évité

La Cnil a aussi constaté que l'entreprise semblait être au courant depuis six mois de cette vulnérabilité, sans avoir pris de mesure d'urgence. La correction a réellement été effective après le contrôle, le 17 septembre 2018. Enfin, Sergic conservait les documents beaucoup trop longtemps. En conséquence, la Cnil explique que cette sanction de 400 000 euros "a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière".

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : L'enseigne Castorama pourrait disparaître selon les syndicats

VIDEO: Il y a une sorte d'aliments qu'Usain Bolt n'a pas le droit de manger — la voici

  1. Marc

    La preuve que c'est un sujet qu'il ne faut pas prendre à la légère Voilà un article qui résume justement le cas des agences immobilières ! https://blog.seald.io/la-conformite-au-rgpd-des-agences-immobilieres-dans-le-viseur-de-la-cnil/

Répondre à Marc Annuler la réponse.